Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Infobrief Recht
Was lange währt… muss nicht immer gut seinRechtliche Probleme bei dem Angebot und der Nutzung einer automati-schen E-Mail-Weiterleitung an Hochschulen
Die rechtlichen Herausforderungen von „Bring Your Own Device“ – Lifestyle contra SicherheitTeil 2: Arbeitsrecht, Urheberrecht
Ein Auskunftsverlangen, das man nicht ablehnen kann Zum Auskunftsanspruch gegen Host-Provider bei Urheberrechtsver-letzungen durch Dritte
6 / 2015Juni 2015
DFN-Infobrief Recht 6 / 2015 | Seite 2
Was lange währt… muss nicht immer gut sein
Rechtliche Probleme bei dem Angebot und der Nutzung einer automatischen E-Mail- Weiterleitung an Hochschulen
von Florian Klein
Die Nutzung einer automatischen E-Mail-Weiterleitung von der universitären E-Mail-Adresse auf
eine private E-Mail-Adresse erfreut sich unter Hochschulmitgliedern seit Jahren großer Beliebt-
heit. Rechtlicher Risiken war man sich dabei meistens überhaupt nicht bewusst, sodass diese
Praxis lange bedenkenlos Bestand hatte. Dass dieses Verhalten jedoch keineswegs ohne Weiteres
rechtlich zulässig ist, soll in diesem Beitrag aufgezeigt werden, um Hochschulen zu animieren,
die Aufrechterhaltung einer solchen Service-Option kritisch zu überdenken.
rolle der Hochschule mehr unterliegen. Führt man sich dies vor
Augen, drängen sich in Zeiten einer steigenden Bedeutung des
Datenschutzes unweigerlich Zweifel auf, ob dies im Hinblick
auf dienstliche Daten tatsächlich mit den geltenden Gesetzen
vereinbar ist.
II. Rechtliche Betrachtung
Aus rechtlicher Sicht gibt es bei einer automatischen E-Mail-
Weiterleitung in erster Linie vier Problemfelder: das Daten-
schutzrecht, den strafrechtlichen Geheimnisschutz, das Ar-
beitsrecht und das Informationsfreiheitsrecht. Vorab ist aber
darauf hinzuweisen, dass viele rechtliche Fragen in diesem
Zusammenhang kein Spezifikum der automatischen E-Mail-
Weiterleitung sind, sondern sich durchaus auch bei einer
manuellen, individuellen Weiterleitung stellen können. Eine
Besonderheit ergibt sich allerdings aus der fehlenden inhaltli-
chen Kontrollmöglichkeit bei einer automatischen E-Mail-Wei-
terleitung, da diese sich ja gerade dadurch auszeichnet, dass
jede Mail unterschiedslos weitergeleitet wird. Kann im Einzel-
fall deshalb überhaupt nicht festgestellt werden, welche Da-
ten und Inhalte weitergeleitet werden, ist für die Beurteilung
der rechtlichen Zulässigkeit im Zweifel davon auszugehen,
dass darunter auch kritische Inhalte sind, für deren Weiter-
gabe spezielle rechtliche Anforderungen bestehen, zumal
I. Hintergrund
Zu dem Service-Angebot einer Hochschule gehört es in aller
Regel, dass Studierenden und Mitarbeitern ein eigener E-Mail-
Dienst mit speziellen Hochschul-Mail-Adressen zur Verfügung
gestellt wird, der über hochschuleigene Server betrieben wird.
Einigen Hochschulmitgliedern ist die Nutzung eines solchen
Dienstes jedoch zu unkomfortabel, weil sie bereits eine eige-
ne private E-Mail-Adresse besitzen und ihre Kommunikation
deshalb bevorzugt darüber abwickeln möchten. Um dies zu
ermöglichen, bieten Hochschulen zusätzlich meist die Option
an, im System eine private E-Mail-Adresse zu hinterlegen, auf
die sämtliche E-Mails, die an die Hochschul-Mail-Adresse des
jeweiligen Nutzers adressiert sind, automatisch weitergelei-
tet werden. Zum Teil kann dabei auch ausgewählt werden, ob
im Hochschulpostfach zumindest eine Kopie der eingehenden
und automatisch weitergeleiteten E-Mails abgelegt werden
soll. Ist diese Einstellung einmal aktiviert, endet die Weiter-
leitung erst, wenn man diese manuell deaktiviert. Bis zu die-
sem Zeitpunkt werden alle E-Mails ohne jegliche menschliche
Kontrolle des Inhalts an einen externen E-Mail-Provider wei-
tergereicht, der dem Nutzer seine private E-Mail-Adresse zur
Verfügung stellt. Dies kann in vielen Fällen dazu führen, dass
kritische Informationen und Daten die Einflusssphäre der
Hochschule verlassen und auf Servern landen, die keiner Kont-
DFN-Infobrief Recht 6 / 2015 | Seite 3
E-Mails sehr häufig Daten beinhalten, die dem Datenschutz-
recht unterliegen.
Um den verschiedenen rechtlichen Fragen in hinreichendem
Maße gerecht werden zu können, befasst sich dieser Beitrag
zunächst nur mit dem Datenschutzrecht. Im kommenden Mo-
nat folgt dann der zweite Teil, der sich mit den übrigen drei
Rechtsgebieten auseinandersetzt.
1. Rechtliche Beurteilung bei Mitarbeitern
Hochschulen sind in vielen Fällen als Körperschaften des
öffentlichen Rechts organisiert. In Nordrhein-Westfalen
legt dies beispielsweise § 2 Abs. 1 S. 1 Hochschulgesetz NRW
(HG NRW) fest. Insofern ergibt sich, dass die jeweiligen Lan-
desdatenschutzgesetze für staatliche Hochschulen als öffent-
liche Stellen zur Anwendung kommen und Datenverarbeitun-
gen der Hochschulen deshalb an deren Maßstab zu messen
sind. Da jedes Bundesland ein eigenes Landesdatenschutzge-
setz erlassen hat, erfolgt die Darstellung hier exemplarisch
anhand des nordrhein-westfälischen Datenschutzgesetzes.
Die meisten Ausführungen lassen sich jedoch auf die anderen
Bundesländer übertragen, da die wesentlichen Grundsätze in
allen Bundesländern sehr ähnlich sind.
Die erste Differenzierung, die bei der rechtlichen Betrachtung
vorzunehmen ist, ist die zwischen Mitarbeitern der Hochschu-
le und Studierenden, da insofern unterschiedliche Regelungen
zu beachten sind. Mitarbeiter sind Teil der Hochschule und ihr
Verhalten wird dieser zugerechnet, soweit sie zur Erfüllung
ihrer Aufgaben tätig werden und in einem Arbeits- bzw. Beam-
tenverhältnis zu ihr stehen. Insofern ergeben sich aus dem Sta-
tus als Beamter oder Angestellter im öffentlichen Dienst keine
Unterschiede. Dienstliche Tätigkeiten der Mitarbeiter werden
somit nach dem für die Hochschule geltenden Datenschutz-
recht beurteilt, wobei die Hochschule nach außen die für diese
Datenverarbeitungen verantwortliche Stelle ist.
Relevante Datenverarbeitung
Ausgangspunkt jeder datenschutzrechtlichen Betrachtung ist
die Feststellung, ob personenbezogene Daten in einer Weise
verarbeitet werden, die vom Datenschutzgesetz erfasst ist.
Personenbezogene Daten sind Einzelangaben über persön-
liche oder sachliche Verhältnisse einer bestimmten oder be-
stimmbaren natürlichen Person (§ 3 Abs. 1 DSG NRW). In Bezug
auf die Daten, die typischerweise in einer E-Mail enthalten
sind, sind dies beispielsweise (personalisierte) E-Mail-Adres-
sen, Namen, Kontaktdaten und Ähnliches. Werden also E-Mails
automatisch an eine andere Adresse weitergeleitet, sind in al-
ler Regel auch personenbezogene Daten betroffen.
Problematisch ist dies dann, wenn in der Weiterleitung der
E-Mails eine Datenverarbeitung zu sehen ist. Zu denken ist
vorrangig an eine Datenübermittlung. Als Übermitteln defi-
niert das Gesetz das Bekanntgeben gespeicherter oder durch
Datenverarbeitung gewonnener Daten an einen Dritten in der
Weise, dass die Daten durch die verantwortliche Stelle weiter-
gegeben oder zur Einsichtnahme bereitgehalten werden [...].
Dabei soll eine Übermittlung nicht nur dann vorliegen, wenn
der Empfänger die personenbezogenen Daten tatsächlich zur
Kenntnis nimmt, sondern auch schon dann, wenn er nur die
faktische Möglichkeit hat, die Daten tatsächlich zur Kennt-
nis zu nehmen. Warum diesem Übermittlungsbegriff ein der-
art weites Verständnis zugrunde gelegt wird, erschließt sich
bei einem Blick auf den Sinn und Zweck der Regelungen zur
Datenübermittlung: es geht nämlich primär darum, jegliche
gezielte Ausweitung des Personenkreises, dem die personen-
bezogenen Daten zugänglich sind, zu verhindern und eine sol-
che droht schon dann, wenn nur die faktische Möglichkeit der
Kenntnisnahme besteht.
Dritter ist im Fall der automatischen E-Mail-Weiterleitung, bei
der ein Mitarbeiter seine eingehenden E-Mails an eine priva-
te E-Mail-Adresse weiterleiten lässt, nicht der Mitarbeiter als
Inhaber der E-Mail-Adresse, sondern dessen Mail-Provider. So-
fern es nicht um hochschulinterne Weiterleitungen geht, bei
denen diese Problematik nicht besteht, ist der Anbieter des
Mailing-Dienstes weder Teil der Hochschule noch steht er in
einem besonderen Verhältnis zu ihr, sodass er sich außerhalb
der verantwortlichen Stelle befindet.
Damit eine datenschutzrechtlich relevante Übermittlung
vorliegt, müssten die jeweiligen Daten also auch durch die
Hochschule an den Mail-Provider weitergegeben werden. Der
Begriff der Weitergabe erfasst jede Handlung, durch die die
in den Daten enthaltenen Informationen in den Bereich des
Empfängers gelangen. Auch wenn der Zweck der E-Mail-Wei-
terleitung nicht darin liegt, seinem privaten E-Mail-Provider
Informationen zu verschaffen, gelangen dadurch die Daten
aus allen dienstlichen E-Mails in dessen Machtbereich und
können theoretisch von diesem eingesehen werden, solange
DFN-Infobrief Recht 6 / 2015 | Seite 4
die Inhalte nicht verschlüsselt sind. Schon auf dem Transport-
weg werden E-Mails häufig mit Postkarten verglichen, da sie
leicht abgefangen und die Inhalte ausgelesen werden können.
Sind sie aber erst auf dem fremden Mail-Server eingegangen,
kann der Mail-Provider erst recht faktisch ohne Probleme auf
sie zugreifen.
Selbst wenn zum Teil gefordert wird, dass eine tatsächliche
Kenntnisnahme der Daten durch den Dritten erfolgt, ist eine
solche Kenntnisnahme nicht immer auszuschließen, da bei-
spielsweise Anbieter wie Google tatsächlich E-Mail-Inhalte
scannen und – mindestens zu Werbezwecken – automatisiert
auswerten. Als Gegenpol dazu stehen unter anderem die deut-
schen Anbieter, die an das Fernmeldegeheimnis gebunden
sind und die deshalb nicht auf die E-Mail-Inhalte zugreifen dür-
fen. Dies schließt einen Zugriff allerdings nur rechtlich und kei-
neswegs faktisch aus. Auch diese haben also die tatsächliche
Möglichkeit einer Kenntnisnahme, sodass im Zweifel selbst
bei diesen eine Weitergabe zu bejahen sein dürfte.
Dass diese Weitergabe auch durch die Hochschule als verant-
wortliche Stelle erfolgt, ergibt sich daraus, dass der jeweilige
Hochschulmitarbeiter die automatische E-Mail-Weiterleitung
aktiviert und damit die Weitergabe der Daten sämtlicher ein-
gehender E-Mails veranlasst hat. Dieses Verhalten muss sich
die Hochschule zurechnen lassen. Es ist allerdings darauf
hinzuweisen, dass diese Konstellation einer automatischen
E-Mail-Weiterleitung in der Rechtswissenschaft bisher kaum
diskutiert wurde.
Dennoch lässt sich als weiteres Argument für die Einordnung
als Datenübermittlung eine Parallele zum Cloud-Computing
anführen. Zwar gibt es dieses in verschiedensten Ausprägun-
gen, doch ist eine davon die Bereitstellung von Speicherplatz
auf Servern des externen Diensteanbieters für den Cloud-
Nutzer. Nimmt jemand einen solchen Dienst in Anspruch und
verlagert seine Daten in den Cloud-Speicher, erfolgt dies nicht
mit der Intention, dass der Cloud-Anbieter diese zur Kenntnis
nehmen soll, sondern dient vorwiegend der Arbeitserleichte-
rung, da die Daten von überall über das Internet abrufbar sind
und man sich das Vorhalten eigener großer Speichermedien
ersparen kann. Dennoch ist der Cloud-Anbieter faktisch in der
Lage, die gespeicherten Daten zur Kenntnis zu nehmen. Hier
besteht also eine Konstellation, die der E-Mail-Weiterleitung
sehr ähnlich ist, da in beiden Fällen externe Diensteanbieter
faktisch Zugriffsmöglichkeiten auf fremde Daten erhalten,
auch wenn die Ausnutzung dieser Zugriffsmöglichkeiten vom
Nutzer nicht gewollt ist.
Im Hinblick auf das Cloud-Computing mithilfe externer Dien-
steanbieter besteht weitgehend Einigkeit, dass dieses als
sogenannte Auftragsdatenverarbeitung zu qualifizieren ist.
Die Auftragsdatenverarbeitung (§ 11 DSG NRW) ist ein recht-
liches Konstrukt, das es datenverarbeitenden Stellen erleich-
tern soll, sich bei der Datenverarbeitung der Unterstützung
externer Stellen zu bedienen. Das funktioniert dadurch, dass
das Gesetz einen externen Datenverarbeiter nicht als Dritten
ansieht, wenn eine wirksame Vereinbarung über die Auftrags-
datenverarbeitung geschlossen wurde. Dies führt dazu, dass
eine Weitergabe von Daten an ihn im Rechtssinne keine Über-
mittlung von Daten darstellt und deshalb unter erleichterten
Voraussetzungen zulässig ist. Verantwortlich bleibt bei dieser
Konstruktion stets der Auftraggeber, der verpflichtet ist, sich
im Rahmen der Vereinbarung Kontroll- und Weisungsrechte
von dem externen Dienstleister einräumen zu lassen und die
Umstände der Datenverarbeitung zu regeln.
Zugleich bedeutet dies aber auch, dass bei einer unwirksamen
oder einer nicht vorhandenen Vereinbarung über die Durch-
führung einer Auftragsdatenverarbeitung die gesetzliche Pri-
vilegierung der Datenweitergabe nicht eingreifen kann und
dann eine Datenübermittlung vorliegen muss. Denn wenn die
Weitergabe der Daten an den Cloud-Anbieter als solche keine
Datenübermittlung im Sinne des Datenschutzgesetzes dar-
stellen würde, bräuchte man gar keine Auftragsdatenverarbei-
tung. Nimmt man also diese Parallele des Cloud-Computings
zu Hilfe, ergibt sich auch für die automatische E-Mail-Weiter-
leitung, dass in der Weiterleitung der E-Mails an eine private
E-Mail-Adresse eine Übermittlung der darin enthaltenen Daten
an den E-Mail-Provider zu sehen ist.
Doch selbst wenn man dies ungeachtet der oben stehenden
Argumente bestreiten möchte, verbleibt immer noch eine da-
tenschutzrechtlich relevante Nutzung von Daten (§ 3 Abs. 2
Nr. 7 DSG NRW), da dies als Auffangtatbestand jede sonstige
Verwendung personenbezogener Daten erfasst.
Datenschutzrechtliche Erlaubnistatbestände
Ist also das Vorliegen einer datenschutzrechtlich relevanten
Verwendung festgestellt, ist für deren Zulässigkeit erforder-
lich, dass eine Einwilligung des Betroffenen vorliegt oder eine
gesetzliche Vorschrift dieses Verhalten erlaubt (§ 4 DSG NRW).
DFN-Infobrief Recht 6 / 2015 | Seite 5
Von einer Einwilligung des Betroffenen wird man bei einer au-
tomatischen E-Mail-Weiterleitung indes nicht ohne Weiteres
ausgehen können. Zum einen weiß der Absender überhaupt
nicht, dass seine E-Mails, die er an eine Hochschuladresse sen-
det, an einen anderen Mail-Provider weitergeleitet werden
und muss damit auch nicht zwingend rechnen, sodass allein
der Versand einer E-Mail, die personenbezogene Daten ent-
hält, noch nicht als Einwilligung durch schlüssiges Verhalten
eingestuft werden kann. Zum anderen könnte der Absender
ohnehin nur in die Verwendung der eigenen Daten einwilligen.
Im Hinblick auf die Daten Dritter, die potentiell per E-Mail ver-
schickt werden, wäre die Einwilligung des jeweiligen Dritten
erforderlich, die naturgemäß nicht vom Absender der E-Mail
erteilt werden kann.
Dass das DSG NRW oder eine andere Rechtsvorschrift eine sol-
che Datenverwendung erlaubt, kann ebenfalls nicht pauschal
unterstellt werden. Insbesondere ist nicht ersichtlich, inwie-
fern eine automatische E-Mail-Weiterleitung zur Aufgabener-
füllung der Hochschule erforderlich ist, da in aller Regel auch
mit den Hochschul-Mail-Adressen gearbeitet werden kann und
ein potentiell geringfügig verringerter Komfort gegenüber
privaten Mail-Adressen nicht ausreichend ist, um die strengen
Anforderungen des Erforderlichkeitskriteriums zu erfüllen.
Da also keineswegs für alle Fälle sichergestellt ist, dass ein
Erlaubnistatbestand eingreift, bestehen nicht unerhebliche
datenschutzrechtliche Bedenken gegenüber einer automati-
schen E-Mail-Weiterleitung.
Dies gilt umso mehr, als bei Datenübermittlungen an E-Mail-
Provider, die ihren Sitz außerhalb der EU-Mitgliedstaaten ha-
ben, wie dies z.B. bei den US-amerikanischen Anbietern der Fall
ist, noch höhere Anforderungen gelten. So muss im Normalfall
nämlich, zusätzlich zu den üblichen Zulässigkeitsvorausset-
zungen, ein angemessenes Datenschutzniveau gewährleistet
werden (§ 17 DSG NRW), welches in den meisten Fällen nicht
vorliegt und nur durch besondere Vorkehrungen geschaffen
werden kann (z.B. durch die Vereinbarung sogenannter Stan-
dardvertragsklauseln).
Datenschutz durch technische und
organisatorische Maßnahmen
Außerdem ist zu berücksichtigen, dass die Landesdatenschutz-
gesetze die verantwortlichen Stellen dazu verpflichten, die
Ausführung und Einhaltung der datenschutzrechtlichen Vor-
schriften durch technische und organisatorische Maßnahmen
sicherzustellen (z.B. § 10 DSG NRW). Zur Konkretisierung dieser
Verpflichtung enthalten die Gesetze eine Auflistung bestimm-
ter Maßnahmen, die der Gewährleistung verschiedener daten-
schutzrechtlicher Schutzstandards dienen sollen. Dazu gehört
beispielsweise, dass die Vertraulichkeit und Verfügbarkeit der
Daten sichergestellt werden müssen, indem Maßnahmen ge-
troffen werden, die garantieren, dass die Daten nur von Befug-
ten zur Kenntnis genommen werden können, zeitgerecht zur
Verfügung stehen und ordnungsgemäß verarbeitet werden
können.
Bei der Nutzung einer automatischen E-Mail-Weiterleitung
gelangen geschützte Daten in die Hände eines Dritten, bei
dem nicht sichergestellt ist, dass er seinerseits die erforderli-
chen Schutzmaßnahmen getroffen hat. Dazu kommt, dass die
Hochschulen auf die externen Mail-Provider überhaupt keinen
Einfluss und deshalb keine Kontroll- oder Steuerungsmög-
lichkeit zur Einführung der erforderlichen technischen und
organisatorischen Maßnahmen haben. Darüber hinaus dürfte
man zu den erforderlichen organisatorischen Maßnahmen der
Hochschule in einem solchen Fall zählen können, dass sie ih-
ren Mitarbeitern untersagt, solche automatischen E-Mail-Wei-
terleitungen einzurichten und dies auch technisch verhindert
oder zumindest erschwert, indem entsprechende Funktionen
gar nicht erst angeboten werden. Die allgemeine Pflicht der
Hochschule, ihren Betrieb so zu organisieren, dass geltende
Gesetze Beachtung finden und möglichst keine Rechtsverlet-
zungen begangen werden („Compliance“), ist hier im Hinblick
auf den Datenschutz spezialgesetzlich konkretisiert. Das
Service-Angebot einer automatischen E-Mail-Weiterleitung
für dienstliche E-Mail-Konten, welches sich technisch relativ
leicht verhindern lässt, wird man deshalb als Verstoß gegen
§ 10 DSG NRW ansehen müssen.
Pflichten gegenüber der Datenschutzaufsicht
Problematisch ist die automatische E-Mail-Weiterleitung zu-
dem im Hinblick auf die Verpflichtungen, die der Hochschule
gegenüber der Datenschutzaufsicht obliegen. Der Landesbe-
auftragte für Datenschutz und Informationsfreiheit (LDI) hat
eine Aufsichtsfunktion gegenüber den öffentlichen Stellen, da
das Gesetz vorsieht, dass er die Einhaltung der datenschutz-
rechtlichen Vorschriften bei diesen überwacht (§ 22 DSG NRW).
Um diese Aufgabe erfüllen zu können, sind die Hochschulen
als öffentliche Stellen generell verpflichtet, den LDI bei seiner
DFN-Infobrief Recht 6 / 2015 | Seite 6
Aufgabe zu unterstützen und erforderlichenfalls Amtshilfe
zu leisten. Insbesondere sind ihm Auskünfte über Fragen zur
Datenverarbeitung zu erteilen, Einsicht in alle Datenverarbei-
tungsvorgänge, Dokumentationen und Aufzeichnungen zu
gewähren, die im Zusammenhang mit der Verarbeitung perso-
nenbezogener Daten stehen, jederzeit Zutritt zu allen Dienst-
räumen und Zugriff auf elektronische Dienste zu ermöglichen
und ggf. auch Kopien von Unterlagen zur Verfügung zu stellen.
Im Einzelfall kann dies auch bedeuten, dass bestimmte dienst-
liche E-Mails vorzulegen sind. Wenn nun aber die E-Mails nur
noch in privaten Postfächern auf fremden Servern liegen, weil
sie ohne Speicherung einer Kopie im Postfach der Hochschul-
Mail-Adresse automatisch weitergeleitet werden, ist der Hoch-
schule die Erfüllung dieser Verpflichtung faktisch oft nicht
mehr möglich. Dieses Problem stellt sich in ähnlicher Hinsicht
auch noch unter zwei anderen rechtlichen Aspekten (Arbeits-
recht und Informationsfreiheitsrecht), die allerdings erst im
zweiten Teil dieses Beitrags dargelegt werden.
Löschungspflichten
Zu guter Letzt ist noch zu bedenken, dass das Datenschutz-
recht Löschungspflichten in Bezug auf solche personenbezo-
genen Daten vorsieht, deren Speicherung unzulässig ist oder
deren Kenntnis nicht mehr zur Aufgabenerfüllung der verar-
beitenden Stelle erforderlich ist. Dies ist Ausfluss des Grund-
satzes der Datensparsamkeit und der Datenvermeidung, wo-
nach möglichst wenige personenbezogene Daten erhoben
und verarbeitet werden sollen und dies auch nur solange wie
nötig. Die Einhaltung dieser Löschungspflichten kann nicht
mehr effektiv durch die Hochschule kontrolliert werden, wenn
die E-Mails mit entsprechenden Daten nicht mehr in ihrem Ein-
flussbereich gespeichert sind, sondern auf den Servern exter-
ner Mail-Provider liegen.
Rechtsfolgen
Für datenschutzrechtliche Verstöße bestehen in verschiede-
nem Maße gesetzliche Sanktionen. So erklärt § 34 DSG NRW die
rechtswidrige Weitergabe nicht offenkundiger personenbezo-
gener Daten zur Ordnungswidrigkeit, die mit einer Geldbuße bis
zu 50.000 € geahndet werden kann. Diese ordnungsrechtliche
Verantwortlichkeit ist zuvorderst eine persönliche und trifft
deshalb denjenigen Mitarbeiter, der die automatische E-Mail-
Weiterleitung eingestellt und genutzt hat. Im Einzelfall kann
jedoch unter den hier nicht näher zu erörternden Vorausset-
zungen des § 30 Ordnungswidrigkeitengesetz (OWiG) auch eine
Geldbuße gegen die Hochschule verhängt werden. Dies kann re-
levant werden, wenn der Leitungsebene eine Aufsichtspflicht-
verletzung dergestalt vorzuwerfen ist, dass unzureichende or-
ganisatorische Vorkehrungen zur Sicherstellung der Einhaltung
datenschutzrechtlicher Regelungen getroffen wurden.
Darüber hinaus kann jeglicher Verstoß gegen datenschutz-
rechtliche Vorschriften gemäß § 24 DSG NRW zu einer Bean-
standung durch den LDI führen, der insofern eine Aufsichts-
aufgabe hat. Eine solche Beanstandung müsste gegenüber
dem Rektor erfolgen und ist mit einer Aufforderung zur Abga-
be einer Stellungnahme verbunden, welcher innerhalb einer
bestimmten Frist nachgekommen werden muss. Gleichzeitig
unterrichtet der LDI auch die Aufsichtsbehörde. Dies ist un-
ter anderem deshalb notwendig, weil der LDI selbst – zumin-
dest in einigen Bundesländern – keine Durchsetzungsbefug-
nisse hat. Verweigert die Hochschule trotz Beanstandung
durch den LDI eine Anpassung des Verhaltens und teilt die
Aufsichtsbehörde die Ansicht des LDI, kann diese (im Fall der
nordrhein-westfälischen Hochschulen ist dies das Ministeri-
um für Innovation, Wissenschaft und Forschung des Landes
Nordrhein-Westfalen) dann gegebenenfalls die Durchsetzung
erzwingen. Im Hinblick auf die konkrete Vorgehensweise in an-
deren Bundesländern ist auf die entsprechenden Normen der
jeweiligen Landesdatenschutzgesetze zu verweisen.
Schließlich ist noch zu beachten, dass § 20 DSG NRW einen
Schadensersatzanspruch des Betroffenen vorsieht, wenn
dieser einen Schaden durch eine unrichtige oder unzulässi-
ge Datenverarbeitung erleidet. In schweren Fällen kann der
Betroffene sogar einen Anspruch auf Ersatz seiner immateri-
ellen Schäden haben („Schmerzensgeld“). Das erforderliche
Verschulden der verantwortlichen Stelle wird dabei vermu-
tet, kann aber widerlegt werden, sofern es tatsächlich an ei-
nem fahrlässigen oder vorsätzlichen Handeln fehlte. Erfolgte
die Datenverarbeitung in einer automatisierten Datei, ist der
Schadensersatzanspruch sogar verschuldensunabhängig,
dafür allerdings in der Höhe auf einen bestimmten Betrag ge-
deckelt. Anspruchsgegner ist insofern in jedem Fall die Hoch-
schule als Träger der verantwortlichen Stelle.
2. Rechtliche Beurteilung für Studierende
Für Studierende sind gesonderte Erwägungen anzustellen.
Selbst wenn diese nach dem jeweiligen Hochschulgesetz als
DFN-Infobrief Recht 6 / 2015 | Seite 7
Mitglieder der Hochschule qualifiziert werden (so z.B. für ein-
geschriebene Studierende § 9 Abs. 1 S. 1 HG NRW) und damit
in einem Sonderrechtsverhältnis zur Hochschule stehen, muss
die Hochschule sich deren Verhalten nicht ohne Weiteres zu-
rechnen lassen. Sie sind deshalb datenschutzrechtlich nicht
Teil der öffentlichen Stelle „Hochschule“, sodass ihr Handeln
auch nicht nach dem Landesdatenschutzgesetz zu beurteilen
ist. Vielmehr unterliegen sie als Private dem Bundesdaten-
schutzgesetz (BDSG) und sind dessen Terminologie folgend
sogenannte „nicht-öffentliche Stellen“. Das BDSG wiederum
legt in § 1 Abs. 2 Nr. 3 fest, dass es dann nicht anwendbar ist,
wenn solche nicht-öffentlichen Stellen eine Datenverarbei-
tung ausschließlich für persönliche oder familiäre Tätigkeiten
vornehmen. Hiermit will der Gesetzgeber Privatleute in einem
engen Kreis von den Restriktionen des Datenschutzrechts
befreien, um ihr privates Handeln nicht unverhältnismäßig
zu erschweren. Zu diesem engen persönlichen Bereich sollen
auch Tätigkeiten im Rahmen der Aus- und Fortbildung gehö-
ren, wozu man auch das Studium zählen können wird, solange
die jeweiligen Tätigkeiten nicht über den üblichen persönli-
chen Kreis hinausreichen. Richten sich Studierende also eine
automatische E-Mail-Weiterleitung von ihrer Hochschul-Mail-
Adresse auf eine private E-Mail-Adresse ein und nutzen diese
für Zwecke des Studiums und andere private Angelegenheiten,
sind die Voraussetzungen dieses speziellen Anwendungsbe-
reichsausschlusses erfüllt und das Datenschutzrecht deshalb
nicht anwendbar. Daraus folgt zugleich, dass insoweit anders
als bei den Mitarbeitern datenschutzrechtliche Bedenken
nicht bestehen und zahlreiche Fälle denkbar sind, in denen die
Nutzung einer automatischen E-Mail-Weiterleitung durch Stu-
dierende rechtmäßig möglich ist.
Dieser Rahmen einer Datenverarbeitung zu ausschließlich per-
sönlichen Zwecken wird jedoch überschritten, sobald Studie-
rende bestimmte Selbstverwaltungsaufgaben der Hochschule
wahrnehmen, indem sie beispielsweise in Gremien, Ausschüs-
sen, Fachschaften oder Ähnlichem tätig werden und dabei
personenbezogene Daten verarbeiten. Insoweit kommt das
Datenschutzrecht also auch für Studierende zur Anwendung.
Das Gleiche gilt für eine sonstige Nutzung der E-Mail-Adresse
für Tätigkeiten, die über den persönlichen Bereich hinausge-
hen. Obwohl dies keine seltenen Konstellationen sind, dürfte
es unverhältnismäßig sein, allein deshalb ein pauschales Ver-
bot des Angebots einer automatischen E-Mail-Weiterleitung
für alle Studierenden zu fordern. Stattdessen rückt hier die Ei-
genverantwortung der jeweiligen Studierenden in den Vorder-
grund, die zunächst selbst dafür Sorge tragen müssen, dass sie
gesetzeskonform handeln. Aufgrund der allgemeinen Pflicht
der Hochschule zur Organisation des Hochschulbetriebs in der
Form, dass gesetzliche Verbote eingehalten werden und insbe-
sondere auch das Datenschutzrecht Beachtung findet, könnte
man von ihr aber unter Umständen verlangen, dass sie Studie-
rende, die in Hochschulgremien tätig sind, darauf hinweist,
dass die Nutzung einer automatischen E-Mail-Weiterleitung
datenschutzrechtlich nicht risikolos und potentiell rechtswid-
rig ist. Deshalb bietet es sich an, im Rahmen des Aktivierungs-
prozesses der automatischen E-Mail-Weiterleitung für Stu-
dierende einen entsprechenden Warnhinweis aufzunehmen,
dessen Kenntnisnahme bestätigt werden muss, sofern dieses
Service-Angebot für Studierende überhaupt aufrechterhalten
werden soll.
Darüber hinaus verpflichtet § 11 Abs. 3 HG NRW die Mitglieder
der Hochschule ohnehin in allen Angelegenheiten zur Ver-
schwiegenheit, die ihnen als Träger eines Amtes oder einer
Funktion bekannt geworden sind und deren Vertraulichkeit
sich aus Rechtsvorschriften, auf Grund besonderer Beschluss-
fassung des zuständigen Gremiums oder aus der Natur des
Gegenstandes ergibt. Verstöße gegen diese Verschwiegen-
heitspflicht können durch Maßnahmen zur Wiederherstellung
der Ordnung geahndet werden, welche allerdings von der
Hochschule entsprechend geregelt sein müssen (§ 11 Abs. 5 HG
NRW). Ob diese Verschwiegenheitspflicht bei der Nutzung ei-
ner automatischen E-Mail-Weiterleitung eingehalten wird, bei
der potentiell solche geheimen Inhalte in den Machtbereich
des externen E-Mail-Providers gelangen, ist zumindest zweifel-
haft.
III. Fazit
Schon die datenschutzrechtliche Betrachtung hat gezeigt,
dass das Service-Angebot einer automatischen E-Mail-Wei-
terleitung durch Hochschulen jedenfalls für ihre Mitarbeiter
rechtliche Risiken mit sich bringt, denen nur durch die Abschaf-
fung dieses Angebots sicher vorgebeugt werden kann. Festzu-
halten sind aber auch zwei andere Fakten: zum einen stellen
sich diese Probleme in der Regel nicht bei Weiterleitungen an
eine andere hochschulinterne E-Mail-Adresse desselben Nut-
zers, da der Herrschaftsbereich der verantwortlichen Stelle
dabei nicht verlassen wird und die Daten nicht in die Hände
eines Dritten gelangen. Zum anderen ist darauf hinzuweisen,
dass bisher – soweit ersichtlich – weder Gerichtsentscheidun-
DFN-Infobrief Recht 6 / 2015 | Seite 8
gen zu dieser Fragestellung ergangen sind noch sonstige Fäl-
le einer Ahndung eines solchen Angebots bekannt geworden
sind. Auch die rechtswissenschaftliche Literatur setzt sich so
gut wie gar nicht mit diesem Problem auseinander. Ganz ver-
einzelt finden sich jedoch ebenfalls kritische Einschätzungen.
Dennoch ist zu berücksichtigen, dass die Sensibilität für daten-
schutzrechtliche Fragestellungen und Standards angesichts
fortwährender Diskussionen über Vorratsdatenspeicherung
und scheinbar allgegenwärtige Überwachung durch Geheim-
dienste in der Bevölkerung zunimmt. Ferner sind öffentliche
Stellen schon durch das Grundgesetz an Gesetz und Recht
gebunden und haben eine gewisse Vorbildfunktion. Insofern
sollte es nicht zum Maßstab des Handelns gemacht werden,
dass dieses Angebot teils schon jahrelang Bestand hatte, ohne
dass es Beanstandungen gab. Generell rechtfertigt eine lange
Ausübung eines rechtswidrigen Verhaltens keine Fortführung
dieser Zustände in der Zukunft. Vielmehr gehört die automati-
sche E-Mail-Weiterleitung auf den Prüfstand der Hochschulen.
Für Studierende dagegen dürfte die automatische E-Mail-Wei-
terleitung aus datenschutzrechtlicher Perspektive in der Regel
deutlich weniger kritisch einzustufen sein. Soweit einige Stu-
dierende im Rahmen der Aufgabenerfüllung der Hochschule in
Gremien tätig werden und insoweit auch an das Datenschutz-
recht gebunden sind, dürfte es unter dem Blickwinkel der Ver-
hältnismäßigkeit vertretbar sein, dieses Service-Angebot für
Studierende nicht generell abzuschaffen, sondern dessen In-
anspruchnahme nur mit einer Aufklärung und einem entspre-
chenden Warnhinweis zu versehen. Denn es verbleibt immer
noch ein großer Kreis von Studierenden, für die eine Nutzung
der automatischen E-Mail-Weiterleitung datenschutzrechtlich
zulässig sein dürfte.
DFN-Infobrief Recht 6 / 2015 | Seite 9
Die rechtlichen Herausforderungen von „Bring Your Own Device“ – Lifestyle contra Sicherheit
Teil 2: Arbeitsrecht, Urheberrecht
von Kevin Kuta
Die Rechenleistung und Komplexität mobiler Endgeräte ist in den letzten Jahren derart gestie-
gen, dass sie mit herkömmlichen PCs mithalten oder diese sogar leistungstechnisch überstei-
gen. Überall und jederzeit ist damit der Zugriff auf lokale Anwendungen und Daten möglich,
meist auch mit einer direkten Verbindung zum Internet. Gleichzeitig bieten die Cloud-Tech-
nologien einen nahezu unbegrenzten Zugang auf global gespeicherte Daten über diese Ge-
räte. Neben der Wirtschaft hat auch die öffentliche Verwaltung die vielfältigen und flexiblen
Möglichkeiten dieser Geräte für sich entdeckt. Mitarbeitern ist eine gewohnte und einfache
Arbeitsumgebung sehr wichtig. Nirgends können sie derartige Umstände besser vorfinden
als auf ihren eigenen Endgeräten. Es stellt sich daher die Frage, welche rechtlichen Probleme
bei der Nutzung privater Endgeräte zu dienstlichen Zwecken („Bring Your Own Device“, kurz
„BYOD“) bestehen.
Bei diesem Beitrag handelt es sich um die Fortsetzung der im DFN-Infobrief Recht Ausgabe
04/2015 begonnenen Reihe zum Thema „Bring Your Own Device“ („BYOD“). In dieser Ausgabe
wird dieses Konzept aus dem Blickwinkel des Arbeitsrechts sowie des Urheberrechts beleuch-
tet. Am Ende der Darstellung des jeweiligen Rechtsgebietes werden Handlungsempfehlungen
beschrieben, die gleichzeitig als eine Art Checkliste genutzt werden können.
die datenschutzrechtlichen Belange der Mitarbeiter im Rah-
men der §§ 12 Abs. 4, 32 Bundesdatenschutzgesetz (BDSG) (so-
wie der entsprechenden Vorschriften der Landesdatenschutz-
gesetze, vgl. § 36 LDSG BW, § 2 Abs. 2 BlnDSG, § 29 BbgDSG, § 20
BrDSG, § 32 HmbDSG, § 34 HDSG, § 35 DSG MV, § 24 NDSG, § 29
DSG NW, § 31 LDSG RP, § 31 SDSG, § 27 SächsDSG, § 28 DSG-LSA, §
23 LDSG SH, § 33 ThürDSG) geregelt werden, welcher die Daten-
erhebung, -verarbeitung und -nutzung für Zwecke des Beschäf-
tigungsverhältnisses betrifft. Auf die datenschutzrechtlichen
Probleme bei der Einführung von „BYOD“ wird allerdings noch
in einem gesonderten Beitrag eingegangen.
I. Arbeitsrecht
Derzeit bestehende Dienst- und Arbeitsverträge sowie Dienst-
bzw. Betriebsvereinbarungen beinhalten in der Regel nur die
private Nutzung der Kommunikationssysteme des Arbeitge-
bers mittels dienstlicher Geräte, wohingegen die dienstliche
Nutzung dieser Systeme über private Endgeräte (noch) nicht
vertraglich geregelt ist. Sofern sich der Arbeitgeber für eine
Zulassung von „BYOD“ entscheidet, sind über die bisherigen
Regelungen hinausgehende Dienst- bzw. Betriebsvereinbarun-
gen notwendig. Daneben scheint die Anpassung bestehender
Dienst- und Arbeitsverträge in Teilen sinnvoll. Im Zuge einer
neuen Dienst- bzw. Betriebsvereinbarung können dann auch
DFN-Infobrief Recht 6 / 2015 | Seite 10
Bereitstellung betrieblicher Ressourcen
Grundsätzlich trifft den Arbeitgeber die Verpflichtung, betrieb-
liche Ressourcen bereitzustellen und zu erhalten. Die privaten
Endgeräte des Arbeitnehmers stehen in seinem Privateigentum.
Dieses Privateigentum ist jedoch nicht vom Direktions- bzw.
Weisungsrecht des Arbeitgebers umfasst, sodass ein verpflich-
tender „BYOD“-Einsatz dieser Geräte nicht angeordnet werden
kann. Erlaubt der Arbeitgeber die Einbringung eigener Geräte,
ist es ratsam, die jeweiligen Gerätetypen und Softwareversio-
nen genau zu bezeichnen und zu dokumentieren. Eines der
größten Probleme im Zuge von „BYOD“ ist nämlich die Verwal-
tung unterschiedlichster Mobilgeräte. Es ist daher eine hoch
skalierbare Managementplattform erforderlich. Einer unbe-
dingten Regelung bedarf im Zuge der Einführung von „BYOD“
aus haftungs- und datenschutzrechtlichen Gründen vor allem
die konkrete Abgrenzung zwischen der privaten und betrieb-
lichen Nutzung des eingebrachten Gerätes. Im Rahmen dieser
Regelung ist auch eine klare Abgrenzung in zeitlicher Hinsicht
angezeigt (zu diesem Punkt sogleich mehr). Auch der Vergü-
tungsanspruch des Arbeitnehmers für die betriebliche Nutzung
sollte vertraglich festgelegt werden. Entsprechend des Anteils
der Nutzung sind die Kosten dort prozentual aufzuführen, wo-
bei daneben eine Anpassungsklausel ratsam ist. Auf diese Wei-
se kann Veränderungen in der Verteilung dieser Anteile besser
nachgekommen werden. Eine anteilige Beteiligung des Arbeit-
gebers an den Kosten für Anschaffung und Wartung ist denkbar.
Der Arbeitgeberanteil kann dabei als pauschale Vergütung oder
in Form eines Einzelnachweises abgegolten werden.
Einhaltung der Arbeitszeit
Vor allem aus zeitlicher Sicht muss im Zuge der Einführung
von „BYOD“ die konkrete Abgrenzung zwischen der privaten
und betrieblichen Nutzung des eingebrachten Gerätes gere-
gelt werden. Im Rahmen der heutigen Kommunikation ver-
mengen sich Freizeit und Arbeitszeit in einem zunehmenden
Maße. „BYOD“-Programme verstärken diesen Effekt durch die
permanente Erreichbarkeit des Arbeitnehmers. Zu nennen ist
hier etwa das Lesen dienstlicher E-Mails oder die Annahme von
Kunden- sowie Mitarbeiteranrufen in der Freizeit. Dadurch
könnte sich der Arbeitnehmer gezwungen fühlen, auch in sei-
ner Freizeit und damit außerhalb der klassischen Arbeitszeit
dienstliche Anfragen auf seinem Gerät zu beantworten. Darin
kann möglicherweise eine Arbeitsaufnahme zu sehen sein,
die arbeitszeitrechtlich relevant ist. Sofern der Arbeitnehmer
außerhalb seiner regulären Arbeitszeit zu ständiger Erreich-
barkeit auf seinem Endgerät verpflichtet ist, ist dies arbeits-
rechtlich als Rufbereitschaft einzuordnen. Er muss nämlich
zur Arbeitsaufnahme an einem Ort seiner Wahl außerhalb der
Arbeitszeit auf Abruf stehen. Zu beachten ist aber, dass die Ar-
beitszeit erst ab der tatsächlichen Arbeitsaufnahme beginnt.
Die Rufbereitschaft als solche ist dagegen noch nicht als Ar-
beitszeit einzuordnen. Eine Rufbereitschaft wird aber dann
nicht vorliegen, wenn der Arbeitnehmer nicht zur ständigen
Erreichbarkeit verpflichtet ist. Sofern der Mitarbeiter freiwillig
außerhalb seiner regulären Arbeitszeit tätig wird, kann darin
grundsätzlich keine Arbeitszeit gesehen werden. Dementspre-
chend sind klare und verlässliche Regelungen zum arbeits-
zeitlichen Umgang mit den privaten Geräten außerhalb der
vereinbarten Arbeitszeit sowie zum privaten Gebrauch wäh-
rend der Arbeitszeit festzulegen. Dies gilt insbesondere vor
dem Hintergrund des § 5 Arbeitszeitgesetz (ArbZG), wonach
die Arbeitnehmer nach Beendigung der täglichen Arbeitszeit
eine ununterbrochene Ruhezeit von mindestens elf Stunden
haben müssen. Ferner ist zu beachten, inwieweit der Arbeit-
nehmer Überstunden ableisten muss und wie diese vergütet
oder durch Freizeitausgleich abgegolten werden.
Beteiligung des Personalrats bzw. des
Betriebsrats
Aus arbeitsrechtlicher Perspektive ist im öffentlichen Sektor
auch die Beteiligung des Personalrats von entscheidender Be-
deutung. Eine Mitbestimmungspflicht des Personalrats kann
sich bei der Einführung dementsprechend aus folgenden Vor-
schriften (sowie den entsprechenden Vorschriften der Landes-
personalvertretungsgesetze) ergeben:
• § 75 Abs. 3 Nr. 15 Bundespersonalvertretungsgesetz
(BPersVG) (Regelung der Ordnung in der Dienststelle und
des Verhaltens der Beschäftigten);
• § 75 Abs. 3 Nr. 16 BPersVG (Gestaltung der Arbeitsplätze);
• § 75 Abs. 3 Nr. 17 BPersVG (Einführung und Anwendung
technischer Einrichtungen, die dazu bestimmt sind, das
Verhalten oder die Leistung der Beschäftigten zu überwa-
chen);
• § 76 Abs. 2 Nr. 7 BPersVG (Einführung grundlegend neuer
Arbeitsmethoden).
Im nicht-öffentlichen Bereich müssen die Vorschriften des
Betriebsverfassungsgesetzes (BetrVG) beachtet werden. Zu-
nächst hat der Betriebsrat ein Kontrollrecht nach § 80 BetrVG,
DFN-Infobrief Recht 6 / 2015 | Seite 11
wozu nach § 80 Abs. 1 Nr. 1 BetrVG etwa die Überwachung der
Einhaltung der zugunsten der Arbeitnehmer geltenden Geset-
ze durch den Arbeitgeber zählt. Daneben kann sich eine Mitbe-
stimmungspflicht des Betriebsrates insbesondere aus folgen-
den Gründen ergeben:
• § 87 Abs. 1 Nr. 1 BetrVG: Fragen der Ordnung des Betriebs
und des Verhaltens der Arbeitnehmer im Betrieb, etwa im
Hinblick auf Passwortverwaltung, Malwareschutz oder
Updates;
• § 87 Abs. 1 Nr. 2 BetrVG: Beginn und Ende der täglichen Ar-
beitszeit einschließlich der Pausen sowie Verteilung der
Arbeitszeit auf die einzelnen Wochentage, insbesondere
mit Blick auf die Always-on-Connectivity, wodurch eine
Vermischung von Arbeits- und Freizeitgestaltung erfolgt;
• § 87 Abs. 1 Nr. 3 BetrVG vorübergehende Verkürzung oder
Verlängerung der betriebsüblichen Arbeitszeit;
• § 87 Abs. 1 Nr. 6 BetrVG: Einführung und Anwendung von
technischen Einrichtungen, die dazu bestimmt sind, das
Verhalten oder die Leistung der Arbeitnehmer zu überwa-
chen. Hierbei ist die Geeignetheit zur Überwachung aus-
reichend, sodass der Arbeitgeber nicht gezielt Überwa-
chungszwecke verfolgen muss. Eine solche Eignung zur
Überwachung kann zum Beispiel schon vorliegen beim
Protokollieren von Logins, Synchronisationsvorgängen,
GPS-Lokalisierungsdaten sowie bei datenschutzrechtli-
chen Kontrollbefugnissen.
Gegenstand dieses Mitbestimmungsrechts können beispiels-
weise der Zeitpunkt der Einführung von „BYOD“, der Zeitraum
der Nutzung und die überbetriebliche Vernetzung sein. Nach
§ 90 BetrVG bestehen im Hinblick auf die Planung von tech-
nischen Anlagen (§ 90 Abs. 1 Nr. 2 BetrVG), von Arbeitsverfah-
ren und Arbeitsabläufen (§ 90 Abs. 1 Nr. 3 BetrVG) und der Ar-
beitsplätze (§ 90 Abs. 1 Nr. 4 BetrVG) Unterrichtungspflichten
gegenüber dem Betriebsrat. Daher muss der Arbeitgeber den
Betriebsrat bereits im Planungsstadium hinsichtlich der Ge-
stattung von „BYOD“ einbeziehen und diesen unter Vorlage
der erforderlichen Unterlagen unterrichten.
Handlungsempfehlungen
Wie deutlich gemacht wurde, gilt es auch aus arbeitsrechtli-
cher Sicht einige Punkte zu beobachten, um eine rechtmäßige
Einführung von „BYOD“ zu gewährleisten. Die nachfolgende
Darstellung der Handlungsempfehlungen soll gleichzeitig als
eine Art Checkliste dienen.
1. Als oberstes Gebot gilt vorweg, dass aus Gründen der
Rechtssicherheit, Klarheit und Transparenz sämtliche Ab-
sprachen zwischen Arbeitgeber und Arbeitnehmer schrift-
lich festgehalten werden sollten. Bisher bestehende
Dienst- bzw. Betriebsvereinbarungen sowie Dienst- und Ar-
beitsverträge werden keine Passus zum Themenkomplex
„BYOD“ beinhalten. Daher sollten diese um entsprechende
Abschnitte ergänzt werden, wobei in diesem Zusammen-
hang direkt auch datenschutzrechtliche Belange der Mit-
arbeiter konstituiert werden können. Neben Dienst- bzw.
Betriebsvereinbarungen sollte daher auf Individualver-
einbarungen zurückgegriffen werden. Es gilt zu beach-
ten, dass Dienst- bzw. Betriebsvereinbarungen BDSG- und
AGB-fest sein müssen (vgl. insbesondere §§ 305c Abs. 2,
307 Abs. 1 S. 2 Bürgerliches Gesetzbuch (BGB)). Dennoch
sind Dienst- bzw. Betriebsvereinbarungen das „Mittel der
Wahl“ bei fast allen Fragen mobiler Endgeräte in der jewei-
ligen Einrichtung, da mit ihnen einige Vorteile einherge-
hen. Es können verbindliche Vereinbarungen über sämtli-
che Gegenstände betrieblicher Mitbestimmung getroffen
werden (vgl. § 77 Abs. 4 S. 1 BetrVG, wonach Betriebsverein-
barungen unmittelbar und zwingend gelten). Das BPersVG
sowie weitestgehend die Personalvertretungsgesetze der
Länder kennen keine solche Vorschrift, die Dienstverein-
barungen für unmittelbar und zwingend erklärt (vgl. § 73
BPersVG). Der Gesetzgeber hat es anscheinend als selbst-
verständlich angesehen, dass auch Dienstvereinbarun-
gen unmittelbar und zwingend gelten. Dementsprechend
kann § 77 Abs. 4 S. 1 BetrVG entsprechend angewendet
werden. Gleichzeitig können mögliche Probleme der AGB-
Inhaltskontrolle abgemildert werden (§ 310 Abs. 4 BGB). Da
eine wirksame Betriebsvereinbarung zugleich als Rechts-
vorschrift im Sinne des § 4 Abs. 1 BDSG gilt (vgl. die ent-
sprechenden Vorschriften der Landesdatenschutzgesetze:
§ 4 Abs. 1 LDSG BW, Art. 15 Abs. 1 BayDSG, § 6 Abs. 1 BlnDSG,
§ 4 Abs. 1 BbgDSG, § 3 Abs. 1 BrDSG, § 5 Abs. 1 S. 1 HmbDSG,
§ 7 Abs. 1 HDSG, § 7 Abs. 1 DSG MV, § 4 Abs. 1 NDSG, § 4
Abs. 1 DSG NW, § 5 Abs. 1 LDSG RP, § 4 Abs. 1 S. 1 SDSG, § 4
Abs. 1 SächsDSG, § 4 Abs. 1 DSG-LSA, § 11 Abs. 1 LDSG SH,
§ 4 Abs. 1 ThürDSG), können datenschutzrechtliche Befug-
nisse des Arbeitgebers darin verankert werden, ohne auf
eine Einwilligung des Arbeitnehmers angewiesen zu sein.
Es muss aber beachtet werden, dass nur Pflichten des Ar-
beitgebers sowie Pflichten des Arbeitnehmers im Hinblick
auf die Verbindung zur IT-Infrastruktur der jeweiligen Ein-
richtung festgelegt werden können, wohingegen Aspekte
DFN-Infobrief Recht 6 / 2015 | Seite 12
des Privatlebens des Arbeitnehmers (etwa Vorschriften
über den Abschluss von Reparatur-, Wartungs- und Garan-
tieverträgen, Software- und Hardwareanschaffung) darin
nicht geregelt werden können und dafür daher individual-
vertragliche Vereinbarungen erforderlich sind.
2. Zur Verwaltung der im Rahmen von „BYOD“ in einer Viel-
zahl eingebrachten Endgeräte der Arbeitnehmer sollten
die jeweiligen Gerätetypen und Softwareversionen genau
bezeichnet und dokumentiert werden. Hierbei bietet sich
eine hoch skalierbare Managementplattform an. Indivi-
dualvertragliche Regelungen sollten in diesem Zusam-
menhang neben sämtlichen Kostenfragen im Hinblick
auf Anschaffung, Wartung, Reparatur und Ersatz auch
den Vergütungsanspruch des Arbeitnehmers für die be-
triebliche Nutzung beinhalten. Die Kosten sind dabei ent-
sprechend des Anteils der jeweiligen Nutzung (dienstlich
und privat) prozentual aufzuführen, wobei daneben eine
Anpassungsklausel ratsam ist, da auf diese Weise Verän-
derungen in der Verteilung dieser Anteile besser nachge-
kommen werden kann.
3. Die Vorgaben hinsichtlich der Arbeitszeit müssen un-
bedingt beachtet und dementsprechende Regelungen
zwischen den Parteien getroffen werden, damit keine
Vermengung von Arbeitszeit und Freizeit erfolgt. Bei der
Einführung von „BYOD“ sollte aus arbeitszeitrechtlicher
Sicht insbesondere auf eine Verpflichtung der Arbeitneh-
mer zu einer ständigen Erreichbarkeit außerhalb der regu-
lären Arbeitszeiten verzichtet werden. Dementsprechend
sind klare und verlässliche Regelungen sowohl zum ar-
beitszeitlichen Umgang mit den privaten Geräten außer-
halb der vereinbarten Arbeitszeit als auch hinsichtlich des
privaten Gebrauchs während der Dienstzeit festzulegen.
Hierbei können die üblichen arbeitsrechtlichen Maßstäbe
zur Online-Nutzung am Arbeitsplatz als Richtwerte die-
nen, wobei es zu beachten gilt, dass ein zu strenges Ma-
nagement seitens des Arbeitgebers die Begeisterung der
Arbeitnehmer für „BYOD“ schwinden lassen kann. Emp-
fehlenswert sind Regelungen, durch die der Arbeitneh-
mer zur Einhaltung der Ruhezeiten nach § 5 ArbZG ange-
halten wird, wobei meist auch seitens des Personal- bzw.
Betriebsrats dahingehende Forderungen aufkommen.
Sofern absehbar ist, dass ein phasenweises Tätigwerden
des Arbeitnehmers außerhalb seiner regulären Arbeits-
zeit unausweichlich ist und dies sogar vom Arbeitgeber
veranlasst wird (etwa die Weiterleitung einer E-Mail mit
der Aufforderung zur Beantwortung, das Durchleiten ei-
nes Anrufs oder die Ansetzung einer Telefon-/Videokon-
ferenz), sollte dies ausdrücklich geregelt werden. Neben
dem Arbeitszeitgesetz kommen im Rahmen von „BYOD“
auch Fragen hinsichtlich der Ableistung und Vergütung
bzw. Abgeltung von Überstunden auf. Diese Punkte kön-
nen im Verlauf eines „BYOD“-Programms zu Streitigkeiten
führen, sodass hier idealerweise schon im Vorfeld unter
Beteiligung der betroffenen Kreise (Arbeitgeber sowie Ar-
beitnehmervertreter) interessengerechte und eindeutige
Regelungen geschaffen werden sollten.
4. Die Einführung von „BYOD“ wird regelmäßig die Mitwir-
kung des Personalrats (im öffentlichen Bereich) sowie
des Betriebsrats (im nicht-öffentlichen Bereich) zur Folge
haben. Aufgrund bestehender Unterrichtungspflichten
und zur Vermeidung von Verlangsamungs- oder Verhinde-
rungsmaßnahmen ist eine frühzeitige Einbindung dieser
Organe (schon im Planungsstadium) ratsam (vgl. die oben
genannten Vorschriften). Durch eine offene und transpa-
rente Vorgehensweise seitens des Arbeitsgebers können
Vorbehalte und Befürchtungen frühzeitig aufgeklärt und
beiseite geschafft werden.
II. Urheberrecht
Auf den ersten Blick mag es befremdlich erscheinen, was das
Urheberrecht mit dem Thema „BYOD“ zu tun haben kann.
Schließlich bringen die Mitarbeiter ihre bereits funktionsfähi-
gen Endgeräte am Arbeitsplatz ein. Es bestehen jedoch einige
Fallstricke aus urheberrechtlicher Sicht, die es zu beachten
gilt. Bei der Einbringung seiner Geräte samt Software geht
das Eigentum daran nicht auf den Arbeitgeber über. Vielmehr
bleibt der Arbeitnehmer weiterhin deren Eigentümer. Dies gilt
auch im Falle der betrieblichen Nutzung dieser Endgeräte. Von
dieser Eigentumslage sind aber die Nutzungsrechte an der in-
stallierten Software zu unterscheiden und müssen gesondert
betrachtet werden.
Unterlizenzierung
Sobald der Arbeitnehmer private Endgeräte mit installierter
Software für dienstliche Zwecke nutzt, können der Arbeitge-
ber und der Arbeitnehmer in Konflikt mit dem Urheberrecht
kommen. Bei jedem Einsatz von Software müssen die ent-
DFN-Infobrief Recht 6 / 2015 | Seite 13
sprechenden Nutzungsrechte eingehalten werden. Meistens
beziehen sich die Nutzungsrechte nur auf eine bestimmte Nut-
zungsart. Die auf dem privaten Endgerät installierte Software
ist häufig lediglich auf die private Nutzung ausgerichtet und
daher vom Hersteller ausschließlich zu diesem Zweck lizen-
ziert. Die Lizenzbedingungen erlauben in diesem Fall regelmä-
ßig eine dienstliche Nutzung der Software nicht. Anbieter von
Freeware und Cloud-Anwendungen sehen in ihren Lizenzbe-
dingungen üblicherweise besondere Modelle für die dienstli-
che Nutzung ihrer Produkte vor. Entsprechendes kann auch im
umgekehrten Fall gelten, wenn also die durch den Unterneh-
mer lizenzierte Software auf den privaten Geräten installiert
wird und dann vom Arbeitnehmer auch privat genutzt wird.
Die Konsequenz beider Konstellationen ist eine Unterlizenzie-
rung hinsichtlich der installierten Software.
Der Arbeitnehmer wird die für die dienstliche Nutzung lizen-
zierte Software häufig auch privat nutzen und umgekehrt für
private Zwecke erworbene Software gleichzeitig für dienst-
liche Angelegenheiten einsetzen. Dabei kann es teilweise
vorkommen, dass die ursprünglich im Privatbereich genutz-
te Software, die im Zuge von „BYOD“ für dienstliche Zwecke
verwendet wird, gar nicht lizenziert ist. Dadurch kann es zu
verbotenen und strafbaren Verhaltensweisen in Form von
vergütungsrelevanten Nutzungshandlungen sowie urheber-
rechtlich relevanten Vervielfältigungen und Weitergaben
kommen. In diesem Zusammenhang kann gerade die dienstli-
che Nutzung der Software als solche bereits die Verletzungs-
handlung darstellen. Dementsprechend muss auf die konkre-
te Ausgestaltung der Lizenzbestimmungen geachtet werden,
insbesondere auf die Unterscheidung zwischen privaten und
gewerblichen Nutzungsbefugnissen, aber auch zwischen per-
sonen- oder gerätegebundenen Lizenzen sowie Mehrplatzli-
zenzen. Zur Kontrolle und zum Ausschluss einer Unterlizenzie-
rung seitens des Arbeitgebers sind daher regelmäßige interne
Audits unabdingbar.
Die soeben beschriebenen Handlungen können je nach Kon-
stellation (insbesondere Umfang und Dauer der Unterlizenzie-
rung) für Arbeitgeber und Arbeitnehmer erhebliche zivilrecht-
liche Folgen haben. So besteht zunächst ein Anspruch auf
Schadensersatz und Unterlassung sowie Beseitigung gegen
die handelnde Person aus § 97 UrhG. Nach § 99 UrhG haftet
der Unternehmer verschuldensunabhängig für die Urheber-
rechtsverletzungen seiner Mitarbeiter. „Unternehmer“ i. S. d.
§ 99 UrhG sind dabei auch Körperschaften des öffentlichen
Rechts, also z.B. Hochschulen. Die Formulierung „in einem Un-
ternehmen“ in § 99 UrhG ist zur Gewährleistung eines wirksa-
men Rechtsschutzes funktional sowie weit zu verstehen und
bedeutet, dass die Verletzungshandlung des Mitarbeiters im
Tätigkeitsbereich der jeweiligen Einrichtung erfolgen muss.
Diese Voraussetzung ist bereits dann erfüllt, wenn der Arbeit-
geber „BYOD“ gestattet. Zu beachten sind zudem die Straf- und
Bußgeldvorschriften der §§ 106 ff. UrhG, die für rechtswidrige
Vervielfältigungshandlungen eine Freiheitsstrafe von bis zu
drei Jahren oder eine Geldstrafe vorsehen. Daneben kann mit
einem Bekanntwerden von massiven Lizenzverstößen durch
eine Einrichtung unabhängig davon, ob diese bewusst oder
unbewusst erfolgten, ein hoher Ansehensverlust einhergehen.
Software aus zweifelhaften Quellen
Aus dem Blickwinkel der IT-Sicherheit weitaus gefährlicher als
die soeben dargestellte Unterlizenzierung ist die Verwendung
von illegaler Software aus zweifelhaften Quellen. Der Down-
load von Software durch den Arbeitnehmer kann grundsätz-
lich nicht eingeschränkt werden. Daher kann es (insbesonde-
re aus Kostengründen) möglich sein, dass der Arbeitnehmer
nicht-lizenzierte Softwareversionen von Internetseiten herun-
terlädt, die vom Hersteller nicht mit der Verbreitung der Soft-
ware betraut wurden. Meist handelt es sich dabei um genuin
urheberrechtswidrig erstellte Kopien ohne jede Art von Lizenz,
sodass das soeben besprochene Problem der Unterlizenzie-
rung hier fortbesteht. Der Arbeitgeber hat kaum Kontrollmög-
lichkeiten über die herangezogenen Quellen, insbesondere
wenn der Arbeitnehmer den Download und die Installation zu
Hause durchführt. In vielen Fällen sind die aus diesen zweifel-
haften Quellen bezogenen Softwareprodukte virenbehaftet
oder „gehackt“. Aufgrund der erhöhten Anfälligkeit für Hacker-
oder Virenangriffe bedeutet die Verwendung dieser Software
eine erhöhte Gefahr für die IT- und Unternehmenssicherheit.
Handlungsempfehlungen
Bei Urheberrechtsverletzungen können neben Unterlas-
sungs- und Beseitigungsansprüchen (§ 97 Abs. 1 UrhG) auch
Schadensersatzansprüche (§ 97 Abs. 2 UrhG) auf den Verletzer
zukommen, die gerade im Softwarebereich mit erheblichen
Summen verbunden sein können und die Gefahr von Abmah-
nungen bergen. Daneben dürfen auch die speziellen Straf- und
Bußgeldvorschriften (§§ 106 ff. UrhG) nicht aus dem Blickfeld
verschwinden, die im Verletzungsfall empfindliche Strafen
DFN-Infobrief Recht 6 / 2015 | Seite 14
vorsehen. Dementsprechend sind zur Vorbeugung von Haf-
tungsfällen aus dem urheberrechtlichen Bereich im Vorfeld
einige Maßnahmen zu ergreifen, damit die Gefahren möglichst
gering gehalten werden und die Einführung von „BYOD“ somit
erleichtert wird. Die nachfolgende Darstellung der Handlungs-
empfehlungen dient wiederum als eine Art Checkliste.
1. Zur Verhinderung von urheberrechtlichen Verletzungs-
handlungen durch Unterlizenzierung muss auf die kon-
krete Ausgestaltung der Lizenzbestimmungen geachtet
werden, insbesondere auf die Unterscheidung zwischen
privaten und gewerblichen Nutzungsbefugnissen, aber
auch zwischen personen- oder gerätegebundenen Li-
zenzen sowie Mehrplatzlizenzen. Diesbezüglich müssen
seitens des Arbeitgebers regelmäßige interne Audits
durchgeführt werden. Auf diese Weise kann einerseits
kontrolliert werden, welche Softwares auf den privaten
Endgeräten installiert sind, andererseits kann dadurch
eine Unterlizenzierung verhindert werden. Die internen
IT-Richtlinien sollten auf die Lizenzneuerungen im Zuge
von „BYOD“ angepasst und deren Einhaltung regelmäßig
überprüft werden.
2. Daneben sollte zur Minimierung des Haftungsrisikos für
Urheberrechtsverletzungen sowie der aus Schadsoftware
herrührenden Gefahren das betriebliche Lizenzmanage-
ment auf die privaten Geräte in betrieblicher Nutzung
erstreckt werden. Idealerweise sollten die Endgeräte der
Mitarbeiter regelmäßig auf unlizenzierte, illegale oder
schädliche Software überprüft werden. Dies könnte in
einer Betriebsvereinbarung geregelt werden (siehe dazu
bereits die obigen Ausführungen). Es erscheint jedoch un-
wahrscheinlich, dass ein Mitarbeiter den gesamten Inhalt
seines Gerätes ohne weiteres offenlegen wird. Der Schutz
der Privatsphäre der Arbeitnehmer sollte vom Arbeitge-
ber gefördert werden, da so mögliche Vorbehalte gegen
eine Einführung von „BYOD“ abgemildert werden. Daher
könnte man alternativ zu einer vollumfänglichen Offenle-
gungspflicht den Mitarbeiter dazu verpflichten, in regel-
mäßigen Abständen einen Nachweis über die ordnungsge-
mäße Lizenzierung der von ihm zu betrieblichen Zwecken
eingesetzten Software zu erbringen. Mit dem Einverständ-
nis des Mitarbeiters könnte man diesen Nachweis durch
eine stichprobenartige Überprüfung absichern. Sofern
der Arbeitnehmer derartige Überprüfungen verweigert,
sollte das private Gerät nicht betrieblich verwendet wer-
den dürfen, was einem Widerruf von „BYOD“ in Bezug auf
diesen Arbeitnehmer bedeutet. Eine sehr strikte Regelung
könnte daneben vorschreiben, welche Software der Mit-
arbeiter auf dem dienstlichen Bereich seines Endgeräts
(dazu sogleich mehr) installieren darf und dass dahinge-
hende Kontrollen erlaubt sind. Bestehende Gewährleis-
tungsansprüche für die eingesetzten Softwares könnten
an den Arbeitgeber abgetreten oder für den Arbeitgeber
geltend gemacht werden. Alternativ bieten sich auch der
zentrale Einkauf sowie die Verwaltung der erforderlichen
Softwares durch den Arbeitgeber an. Er kann diese direkt
in sein betriebliches Lizenzmanagement einpflegen und
verringert auf diese Weise die Gefahr einer Unterlizenzie-
rung deutlich. Dabei sollte auch darauf geachtet werden,
dass die erworbenen Nutzungsrechte sowohl die dienstli-
che als auch die private Nutzung der jeweiligen Software
erlauben. Dadurch möglicherweise entstehende Mehr-
kosten können interessengerecht zwischen Arbeitgeber
und Arbeitnehmer aufgeteilt werden, sofern die private
Nutzung möglich ist, einen merklichen Anteil trägt und
sich der Arbeitnehmer bewusst und freiwillig zur Teil-
nahme am BYOD-Programm entscheidet. Um Konflikte zu
vermeiden, sollte die Kostenaufteilung schriftlich fixiert
werden. Letztlich kann auch die Nutzung von Open-Sour-
ce-lizenzierter Software eine Option sein.
3. Die Trennung von privaten und dienstlichen Daten auf
technischer Ebene erscheint unabdingbar, um die not-
wendigen Kontrollmöglichkeiten seitens des Arbeitgebers
umzusetzen. In diesem Zusammenhang ist an die Konfi-
guration virtueller Desktops (= multiple Arbeitsflächen
(-bereiche)), die Partitionierung der Festplatten der Gerä-
te, verschlüsselte Container (Container-Apps) oder Termi-
nalserver-Lösungen zu denken. Auf diese Weise kann ei-
nerseits eine Kontrolle erfolgen, ohne dass private Daten
des Arbeitnehmers betroffen wären, andererseits könnte
illegal installierter Software der Zugriff auf das Unterneh-
mensnetzwerk verweigert werden.
Anmerkung:
Einen ausführlichen Leitfaden zur Handhabung von „Bring
Your Own Device“ finden Sie unter: https://www.dfn.de/
fileadmin/3Beratung/Recht/handlungsempfehlungen/BYOD-
Leitfaden.pdf
DFN-Infobrief Recht 6 / 2015 | Seite 15
Ein Auskunftsverlangen, das man nicht ab-lehnen kann
Zum Auskunftsanspruch gegen Host-Provider bei Urheberrechtsverletzungen durch Dritte
von Lennart Sydow
Das Landgericht Hamburg hatte in einem Verfahren im einstweiligen Rechtsschutz vom
12.01.2015 (Az.: 310 O 11/15) über die Verpflichtung eines Webhosting-Anbieters zur Erteilung
von Auskünften über seine Nutzer zu entscheiden. Solche Auskunftsansprüche gegen Dritte, die
selbst nicht für die eigentliche Urheberrechtsverletzung verantwortlich sind, bestehen nur in
wenigen gesetzlich geregelten Fällen. Die gewerbliche Erbringung von Dienstleistungen, die für
rechtsverletzende Tätigkeiten genutzt werden, ist einer davon. Hochschulen und Forschungsein-
richtungen müssen sich daher mit dem möglichen Eingang etwaiger Auskunftsersuchen
beschäftigen, wenn sie als Internetzugangsanbieter auftreten oder Dritten Speicherkapazitäten
zur Verfügung stellen.
I. Hintergrund
Die rechtswidrige Verbreitung von Software und Medienin-
halten, wie Foto-, Film- und Musikdateien, über das Internet,
ist vor deutschen Gerichten seit Jahren ein ständig aktuelles
Thema. Aus rechtlicher Sicht steht dem Urheber allein das
Recht zu, sein Werk über das Internet öffentlich zugänglich zu
machen. Diese Inhalte können nur zulässigerweise im Internet
zugänglich gemacht werden, wenn entweder eine der gesetz-
lichen Schrankenregelungen dies erlaubt oder der Urheber
Nutzungsrechte daran eingeräumt hat. Anderenfalls stellt die
Zugänglichmachung durch Dritte eine Urheberrechtsverlet-
zung dar. Für die Rechteinhaber ist es aber oft mit erheblichen
Schwierigkeiten verbunden, gegen die Verantwortlichen vor-
zugehen. Zwar besteht gegen die Täter und Teilnehmer einer
Urheberrechtsverletzung ein Anspruch auf Unterlassung der
verletzenden Handlung und im Falle einer vorsätzlichen oder
fahrlässigen Verletzung auch ein Anspruch auf Schadenser-
satz aus § 97 Urheberrechtsgesetz (UrhG). Um diese Rechte
aber durchzusetzen, ist zunächst einmal erforderlich, dass
dem Rechteinhaber die Identität der handelnden Personen be-
kannt ist. Dies ist bei Rechtsverletzungen im Internet für die
Rechteinhaber nur schwer festzustellen. Damit sie an die nö-
tigen Informationen gelangen können, hat der Gesetzgeber in
§ 101 Abs. 2 UrhG unter gewissen Voraussetzungen einen Aus-
kunftsanspruch gegen Personen vorgesehen, die nicht selbst
eine Urheberrechtsverletzung vornehmen oder daran teilneh-
men, sondern nur eine (technische) Hilfstätigkeit ausüben.
Nach dieser Vorschrift kann die Herausgabe verschiedener In-
formationen, wie beispielsweise der Name und die Anschrift
der Nutzer einer Dienstleistung, verlangt werden. Der Aus-
kunftsanspruch richtet sich unter anderem gegen denjenigen,
der in gewerblichem Ausmaß Dienstleistungen erbracht hat,
die für rechtsverletzende Tätigkeiten genutzt wurden. Erfor-
derlich ist darüber hinaus, dass eine offensichtliche Urheber-
rechtsverletzung vorliegt und dass das Auskunftsverlangen im
Einzelfall nicht unverhältnismäßig ist. Soweit Verkehrsdaten
– also solche Daten, die bei der Erbringung eines Telekommu-
nikationsdienstes erhoben, verarbeitet oder genutzt werden
(siehe § 3 Nr. 30 Telekommunikationsgesetz) – verwendet wer-
den müssen, um die Auskunft erteilen zu können, ist zudem
eine richterliche Anordnung über die Zulässigkeit der Aus-
kunftserteilung erforderlich.
Immer wieder haben sich Gerichte diesbezüglich damit zu be-
schäftigen, dass Accessprovider, als gewerbliche Anbieter von
Dienstleistungen, zur Erteilung von Auskünften über ihre Nut-
DFN-Infobrief Recht 6 / 2015 | Seite 16
zer verpflichtet werden sollen (siehe hierzu: Klein, „Verfolgung
von Urheberrechtsverletzungen im Internet erleichtert“, DFN-
Infobrief Recht 5/2012).
Anfang dieses Jahres hatte das Landgericht Hamburg (LG Ham-
burg) nun in einem Verfahren über einen solchen Auskunftsan-
spruch gegen einen Webhosting-Anbieter zu entscheiden, der
dem Betreiber eines BitTorrent-Trackers nicht den Netzzugang
aber Serverkapazitäten zur Verfügung stellte. BitTorrent ist ei-
nes der größten Filesharing-Netzwerke, bei dem eine Inhalts-
datei in Datenpakete aufgeteilt und dann direkt zwischen Nut-
zern weiterverteilt wird.
II. Sachverhalt und Entscheidung des Gerichts
In dem Beschluss des LG Hamburg vom 12.01.2015 (Az.: 310 O
11/15) ging es um einen Fall, in dem die Anwälte der Rechtein-
haber zunächst die Betreiber dreier großer BitTorrent-Tracker
aufgefordert hatten, Inhalte ihrer Mandanten zu sperren.
Tracker sind spezielle Server, die den Kontakt zwischen Teil-
nehmern des BitTorrent-Netzwerkes herstellen und diesen so
ermöglichen, einzelne Datenpakete auszutauschen, die dann
wieder zu der Inhaltsdatei zusammengesetzt werden. Sie ver-
mitteln die Kontaktaufnahme zwischen den Nutzern des Netz-
werkes, indem sie die IP-Adressen der anbietenden Rechner an
den suchenden Rechner senden. Als diese nicht auf die Auffor-
derung reagierten, wendeten die Rechteinhaber sich an den
Webhosting-Anbieter der Tracker-Server und wiesen ihn auf
die rechtsverletzenden Inhalte hin. Als Hostprovider ist ein sol-
cher Webhosting-Anbieter grundsätzlich nicht Täter oder Teil-
nehmer einer Rechtsverletzung, die von seinen Kunden unter
Nutzung der von ihm zur Verfügung gestellten Speicherkapa-
zitäten begangen wird. Möglich ist aber eine Verpflichtung zur
Unterlassung nach den Grundsätzen der Störerhaftung, wenn
der Anbieter in irgendeiner Weise willentlich und adäquat kau-
sal zur Verletzung eines geschützten Rechtsgutes beiträgt und
zumutbare Prüfpflichten verletzt hat. Um eine solche Verant-
wortlichkeit als Störer zu vermeiden, schaltete der Provider
die Server der betroffenen Seiten auf den Hinweis der Rechte-
inhaber ab, nachdem er zunächst die Betreiber der Tracker-
Server aufgefordert hatte, die rechtsverletzenden Inhalte zu
sperren, diese aber darauf nicht reagiert hatten.
Da der Webhosting-Anbieter seinen Pflichten unverzüglich
nachkam, war eine gerichtliche Geltendmachung eines Un-
terlassungsanspruchs gegen diesen nicht erforderlich. Sein
Beitrag an der Rechtsverletzung des Tacker-Servers wurde
beseitigt. Vor das LG Hamburg gelangte der Fall erst, weil die
Rechteinhaber noch zusätzlich Auskunft über Namen, An-
schrift und E-Mail-Adresse der Kunden des Providers verlang-
ten, die die Tracker-Server bis zu diesem Zeitpunkt betrieben
hatten. Der Anspruch zur Erteilung von Auskünften ist unab-
hängig von der Verpflichtung zur Unterlassung der störenden
Handlung, die zu der Rechtsverletzung beiträgt. Da der Anbie-
ter diese Auskünfte verweigerte, beantragten die Rechtein-
haber vor dem LG Hamburg, dem Hostprovider die Erteilung
der Auskünfte aufzugeben. Das Gericht folgte dem Antrag
und stellte die Verpflichtung des Webhosting-Anbieters zur
Auskunftserteilung fest, weil alle Voraussetzungen des § 101
Abs. 2 UrhG erfüllt seien: Die Rechteinhaber hatten aus Sicht
der Richter glaubhaft gemacht, dass MP3-Dateien von Musik-
stücken, an denen sie die ausschließlichen Nutzungsrechte
halten, im Internet unerlaubterweise öffentlich zugänglich
gemacht worden waren. Dies sei unter Verwendung der frag-
lichen Tracker-Server geschehen, die die Verbindung zu den
Nutzern herstellten. Sobald die Verbindung hergestellt wor-
den war, wurden die Inhalte von verschiedenen Nutzern her-
untergeladen. Der Zugriff sei somit unter Verwendung der Tra-
cker-Server ermöglicht worden, auch wenn die Inhalte selbst
nicht auf diesen hinterlegt waren. Dies wertete das Gericht als
ausreichend für die erforderliche offensichtliche Rechtsver-
letzung. Auch habe der Webhosting-Dienst mit der Zurverfü-
gungstellung der Serverkapazitäten in gewerblichem Ausmaß
eine Dienstleistung erbracht, welche für die rechtsverletzen-
den Tätigkeit der Tracker-Server-Betreiber genutzt wurde.
III. Fazit und Auswirkungen für Hoch- schulen und Forschungseinrichtungen
Diese Einordnung zeigt, dass nicht nur die Internetzugangsan-
bieter von Nutzern, die Inhalte im Internet verfügbar machen,
in Form einer Auskunftsverpflichtung zur Verantwortung
gezogen werden können, sondern auch Serverbetreiber, die
den rechtsverletzenden Inhalten ähnlich nahe stehen. Leider
nicht ganz eindeutig sind die Ausführungen bezüglich der of-
fensichtlichen Rechtsverletzung, die Voraussetzung für den
Auskunftsanspruch ist. Hier ist wohl davon auszugehen, dass
den Betreibern der Tracker-Server nicht selbst eine Täterschaft
oder Teilnahme an den jeweiligen Rechtsverletzungen vorge-
worfen wird, denn die Inhaltsdateien werden ausschließlich
von den jeweiligen Nutzern geteilt. Die Tracker-Server stel-
DFN-Infobrief Recht 6 / 2015 | Seite 17
len lediglich die Verbindung zwischen Nutzern her, die dann
untereinander die Datenpakete austauschen. Von daher ist
anzunehmen, dass hier eine Verantwortlichkeit der Tracker
ebenfalls nur nach den Grundsätzen der Störerhaftung beste-
hen kann, wenn diese willentlich einen kausalen Beitrag zur
Verletzung leisten. Wann genau der Betreiber eines solchen
Tracker-Servers aber verantwortlich ist, kann an dieser Stelle
offen bleiben. Für Hochschulen und Forschungseinrichtungen
spielt dies praktisch wohl kaum eine Rolle, da sie keine solchen
Server betreiben.
Viel relevanter kann für Hochschulen und Forschungseinrich-
tungen die oben geschilderte Verpflichtung eines Webhos-
ting-Anbieters zur Auskunftserteilung über seine Nutzer sein,
auf die diese Entscheidung aufmerksam macht. Dass diese
Einrichtungen Speicherkapazitäten für Dritte anbieten, ist in
verschiedenen Situationen denkbar und in der Hochschulpra-
xis stellenweise bereits umgesetzt (zum Beispiel bei Cloud-
Diensten für Studenten), wenn auch noch nicht so verbreitet
wie das Angebot eines Internetzugangs. Es ist folglich damit
zu rechnen, dass im Einzelfall auch gegen Hochschulen in ihrer
Funktion als Access- und Hostprovider diese Auskunftsansprü-
che geltend gemacht werden können. Soweit im Einzelfall sol-
che Auskunftsersuchen gestellt werden, ist zu beachten, dass
diese möglichst erst nach einer Prüfung der Voraussetzungen
erfüllt werden sollten. Dies gilt zumindest dann, wenn – wie
im vorliegenden Fall – keine Verkehrsdaten verwendet werden
müssen, um die Auskunft zu erteilen, und daher auch keine
richterliche Anordnung erforderlich ist. Besonderes Augen-
merk dürfte dabei auf die Frage zu legen sein, ob die Speiche-
rung bestimmter Inhalte durch die Nutzer tatsächlich eine of-
fensichtliche Rechtsverletzung darstellt. Es ist dann jedenfalls
zu empfehlen, den Datenschutzbeauftragten und die jeweilige
Rechtsabteilung einzubinden.
DFN-Infobrief Recht 6 / 2015 | Seite 18
Impressum
Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende
mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz.
Herausgeber
Verein zur Förderung eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, D-10178 Berlin
E-Mail: [email protected]
Redaktion
Forschungsstelle Recht im DFN
Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und
Medienrecht (ITM), Zivilrechtliche Abteilung
Unter Leitung von Prof. Dr. Thomas Hoeren
Leonardo-Campus 9
D-48149 Münster
E-Mail: [email protected]
Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins
und mit vollständiger Quellenangabe.